한겨레

지난 9일 국회가 개인정보보호법, 정보통신망법, 신용정보법 등 이른바 ‘데이터 3법’을 통과시킴에 따라 정부는 곧 유럽연합에 일반정보보호규칙(GDPR) 적정성 결정을 신청하기로 했다. 이 적정성을 인정받으면 국내 기업이 유럽에서 수집한 유럽 시민의 개인 정보를 국내로 가져올 수 있다.

21일 행정안전부, 방송통신위원회, 금융위원회, 개인정보보호위원회 등 데이터 3법 관계 부처는 정부서울청사에서 합동 브리핑을 열어 후속 조처를 발표했다. 먼저 진영 행안부 장관이 1월 말 주한 유럽연합 대사를 면담하고 2월 초 유럽연합 집행위와 유럽의회를 방문해 조속히 적정성을 결정해달라고 신청하고 협력을 위한 공동 성명도 발표할 예정이다. 이번 법 개정 과정에서 한국 주재 유럽연합 대표부와 꾸준히 논의해왔기 때문에 유럽연합 집행위의 1단계 결정은 진 장관의 방문 직후 나올 것으로 예상된다. 적정성 결정은 모두 5단계로 이뤄져 있으며, 일본의 사례를 보면, 1단계에서 5단계 결정까지 5개월 가량 걸렸다.

‘일반정보보호규칙 적정성’이란 유럽연합이 회원국 외 다른 나라의 개인 정보 보호 수준이 유럽연합과 비슷하다는 것을 인정하는 제도다. 적정성을 인정받은 나라의 기업은 표준계약 체결 등 개별적인 부담 없이 유럽연합 시민의 개인 정보를 이전받을 수 있어 기업 활동이 더 편리해진다. 기존엔 유럽에서 활동하는 한국 기업이 수집한 유럽연합 시민의 개인 정보를 국내로 가져오기 어려웠다.

그동안 유럽연합은 한국의 정보 보호 감독 기구가 충분히 독립되지 않았고, 개인정보보호법도 미흡하다며 적정성 결정을 위한 심사를 두 차례 중단했다. 그러면서 개인정보보호법 개정안이 국회에서 통과되면 적정성 결정을 검토할 수 있다는 태도를 보여왔다.

이에 따라 정부는 유럽연합의 적정성 결정 요건을 충족하기 위해 이번 개정안에서 개인정보 보호위원회를 국무총리 소속의 중앙행정기관으로 격상했다. 또 개인 정보를 안전하게 보호하면서 데이터를 활용할 수 있게 ‘가명 정보’ 개념을 통계 작성, 과학 연구, 기록 보존 등에 도입하기로 했다.

이밖에 정부는 올해 2월까지 데이터 3법의 시행령 개정안을, 3월까지 고시 등 행정 규칙 개정안을 마련하는 등 행정 입법을 신속히 추진하기로 했다. 또 개인 정보 보호 정책 수립과 조사·처분 권한을 갖는 개인정보보호위원회의 출범도 지원한다.

이번에 국회에서 통과된 데이터 3법의 핵심 내용은 각 기관이 수잡한 개인 정보에 `가명 정보’를 도입해 개인을 알아볼 수 없게 한 뒤 이를 통계 작성이나 과학 연구, 기록 보존 등에 활용할 수 있게 허용한 것이다. 개인 정보를 보호하기 위해 서로 다른 정보 수집 기관의 가명 정보 결합은 엄격히 금지되며, 기준을 갖춘 제3의 공공기관에서만 가명 정보 결합이 허용된다. 또 기업이 가명 정보를 가지고 원래 정보에 접근해 실명 정보를 재식별하는 경우에도 연 매출의 3%까지 과징금을 부과하는 등 강하게 제재한다. 또 기존에 대통령 소속 심의 기관이었던 개인정보보호위원회를 국무총리 소속 중앙행정기관으로 격상해 개인 정보 보호 기능을 강화, 일원화했다.

김규원 기자 che@hani.co.kr